Dyn DNSに対するDDoS攻撃はスクリプトキディによる犯行か

troll-2

経営リスクを分析するFlashPointは、先週発生したDynのDNSへのサイバー攻撃に関する予備調査結果を公表した。ロシア政府などに支援されたプロのハッカーによる攻撃ではないかとも噂されていたなかで、彼らが下した結論とは、今回の攻撃はアマチュアのハッカーによるものだった可能が高いというものだった。

先週の金曜日に起きたDynのドメインネームシステムに対するDDoS攻撃は、様々なWebサービスに大きな影響を与える結果となった。PayPal、Twitter、Reddit、GitHub、Amazon、Netflix、Spotify、RuneScapeなどのWebサービスでアクセス障害が発生したのだ。

ロシア政府の関与が噂されたのに加え、ハッカー集団のNew World Hackersをはじめとする様々な組織が、自分たちがこのサイバー攻撃の首謀者であると主張した。おかしなことに、あのWikiLeaksも同組織のサポーターが関与した可能性があるとツイートしている(おそらくジョークだろう)。

FlashPointはこれらの主張について「疑わしい」、「嘘である可能性が高い」とコメントし、その代わりにスクリプトキディ(他人が製作したスクリプトを悪用して興味本位で第三者に被害を与えるハッカー)たちによる犯行だったという説を主張しているのだ。

彼らがこの結果にたどり着く根拠となったのは、今回の調査で新たに分かった証拠の数々だ。今回の攻撃に使われたインフラストラクチャーは、Dynだけでなく有名なビデオゲーム企業にも攻撃を加えていたのだ。

「同社のサービスにはなんら影響がなかったとは言え、ビデオゲーム企業が標的にされたという事実はプロのハクティビスト、政府主導のハッカー、または社会的正義を掲げるコミュニティが関与していたという可能性を低め、オンラインのハッキング・フォーラムに現れるようなアマチュアによる犯行だった可能性を高めています」とFlashPointのAllison Nixon、John Costello、Zach Wikholmは分析資料のなかで語る。

Dyn DNSへの攻撃は、Miraiと呼ばれるマルウェアに感染したデジタルビデオレコーダーとWebカメラによって構成されたボットネットが引き起こしたものだ。このボットネットをコントロールするマルウェアのソースコードは今月初めにGitHubで公開されている。また、Miraiをリリースしたのはhackforums[.]netというハッキング・フォーラムに頻繁に現れるハッカーだったとFlashPointは主張している。

このような状況証拠は、英語で書かれたハッカー・フォーラムの読者と今回のサイバー攻撃とのつながりを示している。また、このhackforums[.]netはビデオゲーム会社を標的にしていることで有名なフォーラムであることをFlashPointは指摘している。

同社は「ある程度の自信をもって」この結論にたどり着いたと話す。

このコミュニティは「booters」や「stressers」と呼ばれる商業用DDoSツールの開発方法及びその使用方法を掲載していることで知られています。ハッカーたちはその「貸しDDoSサービス」とも言える有料サービスをオンラインで提供しており、マルウェアのMiraiやボットネットに関与しているハッカーの1人はこのフォーラムに頻繁に出入りしていることが知られています。「Anna-Senpai」というハンドルネームで活動するハッカーが10月初旬にMiraiのソースコードを公開しており、この人物こそが今月初めに「Krebs on Security 」とホスティングサービスプロバイダーのOVHを攻撃した人物だと考えられています。このフォーラムに頻繁に現れるハッカーたちはこれまでにも同様のサイバー攻撃を仕掛けていたことが知られていますが、それらの攻撃は今回よりもはるかに規模の小さなものでした。

FlashPointはさらに、ターゲットとなった企業が広範囲に及んでいること、そして金銭的な要求がなかったことから、今回の攻撃に金銭的または政治的なモチベーションがあったとは思えないと主張している。つまり、自分の能力を誇示したり何かを破壊することをモチベーションとするハッカーによる犯行だった可能性が高いということだ。そのようなハッカーたちは俗にスクリプトキディと呼ばれている。

セキュリティ企業のF-SecureでCHief Research Officerを務めるMikko Hypponenは、このFlashPointの分析に賛同している。「彼らは正しいと思います」と彼はTechCrunchとのインタビューで語る。「金曜日に起きたサイバー攻撃に、金銭的あるいは政治的なモチベーションがあったとは思いません。あの攻撃にはハッキリとした標的がなく、明確なモチベーションを見つけるのは難しい。なので、愉快犯による犯行だったのでしょう」。

サイバー攻撃に利用されたWebカメラがリコールされる一方で、IoTの安全性に関する問題は企業が単体で解決できる問題ではない。また、高いスキルを持つプロのハッカーでなくても、簡単に入手できるソフトウェアでボットネットをコントロールすれば、社会に大きな影響を与えるようなサイバー攻撃を仕掛けることができるかもしれないのだ。プロのサイバー攻撃の標的はもっとハッキリしており、公衆からの注目を得ることを避けようとしている。彼らのモチベーションは世界が焼け落ちるところを見ることではなく、もっと経済的なものだ。

今年の夏にIoTセキュリティのDojo-Labsを買収したセキュリティ企業のBullGuradは、ユーザーの個人ネットワークに接続されたIoTデバイスがShodanのサーチエンジンに掲載されているかどうかチェックできる無料のIoTスキャナー・ツールを提供している。Shodanのサーチエンジンは外部からアクセス可能なIoTデバイスをリストアップしており、そこに掲載されているデバイスはハッキングの対象になる可能性がある。

同社によれば、これまでに同社のツールによってスキャンされたユニークIPアドレスの数は10万以上にもおよび、そのうち4.6%のデバイスに脆弱性があることを発見したという。世界中に約40億台ものIoTデバイスが存在することから推定すれば、脆弱性のあるIoTデバイスは世界全体で1億8500万台も存在することになるとBullGuardは話す。

「IoTの脆弱性に対する本当の解決策はまだありません」とF-SecureのHypponenは話す。「IoTリスクに対応できる新しいセキュリティが必要ですが、消費者からデバイスの安全性を求める声はありません」。

IoTのセキュリティ強化を求める消費者は少ないものの、F-SecureはF-Secure Senseと呼ばれるセキュリティ製品の開発に取り組んでいる。だが、現状はまだそのツールに対する需要をテストしている段階だとHypponenは話す。彼によれば、IoTデバイスのセキュリティを強化するという動きは消費者からではなく、ネットワークからデータが流出することを恐れる企業から生まれるだろうと考えている。

「この状況に変化が起きるのは、IoTデバイスを標的としたサイバー攻撃ではなく、その背後にあるネットワークを標的とする大規模なサーバー攻撃が起きたときでしょう。人々のホームネットワークがランサムウェアに感染し、休暇中の写真が人質に取られ、しかもその攻撃がIoT洗濯機から侵入してきた時です。すると彼らは”対策するべきかも”ということに気付くのです」と話し、「これは今にも起きつつあることだ」と付け加えた。

「なので、ハッカーの攻撃対象はIoTデバイスではありません。IoTデバイスはベクトルです。彼らはそれをネットワークに侵入するための入口として利用しているのです。そして大半の場合、ネットワークをつなぐ鎖の弱点となるのが、IoTデバイスなのです」。

[原文]

(翻訳: 木村 拓哉 /Website /Facebook /Twitter

DDoS攻撃に利用されたウェブカメラがリコール対象に

camera-modul

先週Dynは、同社が運用するDNSサービスを襲い、Twitter、Amazon等のサイトで多くのユーザーを巻き込んだ大規模DDoS攻撃について、「数千万」の固有IPアドレスが関与していることを突きとめたと発表した。問題のデバイスの少なくとも一部は、現在リコール対象となっており、中国の電気メーカー、Hangzhou Xiongmaiは、同社の部品を使用しているウェブカメラをリコールした。攻撃に関与したデバイスの大部分にその部品が関わったとされている。

問題のウェブカメラは、セキュリティー専門家が攻撃を受けやすいと指摘しており、DynのDNSを襲ったマルウェア「Mirai」に利用された。デフォルトパスワードの推測が容易でアタッカーが侵入してマルウェアで使用しやすかったためだ。

XiongmaiはBBC宛の声明で、攻撃に利用された機器の大部分が同社のデバイスであることを否定しており、実際、多数のメーカーが製造したIoTハードウェアが関与している可能性は高い。それでもXiongmaiは、同社の基板や部品を使用しているウェブカメラ全機種のリコールを敢行した。Xiongmaiが部品を供給している会社は数多く、リコール対象は膨大な数に上る。

また同社は、ユーザーがデフォルトパスワードを変更しないことも原因であると指摘している。事実、今日(米国時間10/24)の本誌が報じた米国 IoT 利用調査結果も、ログイン情報を変更しない人々が非常に多いことを示している。

[原文へ]

(翻訳:Nob Takahashi / facebook

インターネットパフォーマンス最適化のDynがモニタリングサービスRenesysを買収して精度向上へ

DynDNSで有名なインターネットパフォーマンスサービスDynが今日(米国時間5/21)、インターネットとその上のクラウドサービスの状態をモニタして数値化/視覚化するサービスRenesysを買収した、と発表した。後者はインターネットのモニタリング情報のほかに、、マーケット情報なども提供しているが、一般によく知られているのは、いわゆる‘アラブの春’の時期にエジプト政府がインターネットを閉鎖したとき、残された唯一の情報源になったことだろう。最近ではトルコ政府がTwitterなどを規制したときにも、同社が関連情報を提供した。

Renesysでは、モニタマシンの全世界的なネットワークが常時動いていて、リアルタイムでルーティングやパフォーマンスに関する情報を提供している。企業ユーザはそれらのデータを見て、ネットワーク全体の状態を詳細に知ることができる(自分が利用しているクラウドサービスの状態だけでなく)。同社は世界中の300以上のISPと提携関係があり、Dynはそのネットワークから集められたデータを自己の遠隔測定データと組み合わせて利用する。それらのデータによりDynの顧客は、自分が利用しているCDNやクラウドやデータセンターなどの最適化の精度を上げることができる。

DynのCEO Jeremy Hitchcockは曰く、“Renesysの、グローバルであると同時に粒度の細かいモニタリングデータにより、うちはトラフィックとメッセージに関する意思決定を改良でき、顧客と彼らのオーディエンスとのあいだのネットワーキングの効率を上げることができる”。

Dynによると同社は、Renesysから得られる世界各地のインターネットパフォーマンス情報を、同社のトラフィック/メッセージ管理ソリューションに組み入れていく。たとえばDynの最新プロダクトであるPerformance Assuranceシリーズは、Renesysから得られるデータがその‘主原料’であり、Dynの従来の製品とは無関係に、単独で提供される。

今回の買収の目的は、Renesysのプロダクトだけではなく、人材獲得の目的もあった。Renesysの現在約40名の社員がこれからはDynの社員になり、そこにはCEOのAshton PeeryやファウンダのAndy T. Ogielskiも含まれる。彼らの職場は、ニューハンプシャー州HanoverにあるRenesysのオフィスだが、Dynの本社もニューハンプシャー州(Manchester)にあるので、いわば地元同士の買収劇だった。

 

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))